Data Protection Academy » Data Protection Wiki » Data processing

Electronic data processing DSGVO

Data processing

Die Datenverarbeitung im Sinn der Datenschutz-Grundverordnung betrifft nahezu jede Organisationen und reguliert mittels datenschutzrechtlicher Vorschriften  die Art und Weise wie Daten erhoben, erfasst oder generell verarbeitet werden. Dementsprechend essenziell ist es, dass sich Unternehmen mit diesem Thema auseinandersetzten und über die gesetzlichen Regelungen informiert sind.

Content on the topic of data processing:

What is data processing?

The General Data Protection Regulation understands the data processing in Article 4 para. 2 als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personal data. wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Was sind Grundsätze der Datenverarbeitung nach der DSGVO?

Die Grundsätze der Datenverarbeitung werden in Article 5 GDPR festgeschrieben und können unter den folgenden Stichwörtern zusammengefasst werden.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Earmarking
  • Data minimisation
  • Correctness
  • Memory limitation
  • Integrität und Vertraulichkeit
  • Accountability

Verarbeitung als Schlüsselbegriff im Datenschutz

Der Begriff der „(Daten-)Verarbeitung“ sollte spätestens seit in Kraft treten der Datenschutzgrundverordnung im Jahr 2018 jedem ein Begriff sein. Definiert wird die „Verarbeitung“ im Article 4 (2) DSGVO und findet in vielen weiteren Artikeln Erwähnung. Die Verarbeitung ist so entscheidend im Datenschutz, dass ebenfalls Vorlagen und Rechtsfolgen an sie gebunden sind.

Wann ist eine Datenverarbeitung zulässig?

Article 6 para. 1 DSGVO regelt die Zulässigkeit beziehungsweise Rechtmäßigkeit der Datenverarbeitung, indem bestimmte Bedingungen zur Erfüllung vorgegeben werden. Von den beschriebenen Bedingungen muss mindestens eine erfüllt sein, damit die Verarbeitung rechtmäßig ist.

  • The data subject has given his/her consent to the processing of data concerning him/her. personal data. für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. (gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.)

Which legal position is the right one?

Die allgemeine Rechtsgrundlage für den Umgang mit personal data. forms Article 6 para. 1 DSGVO. Für den nicht-öffentlichen Bereich ist vor allem der Buchstabe f maßgeblich. Im Gegensatz dazu verweist die DSGVO für den öffentlichen Bereich in Abs. 3 auf das nationale Recht. Dieser Absatz hat einen Richtliniencharakter, wobei nationale Gesetzgeber dazu angehalten sind die darin gefragten Vorgaben verbindlich zu regeln.

„Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX.“

Durch zahlreiche Öffnungsklauseln in der DSGVO ist es Mitgliedstaaten zudem möglich in vielen Bereichen selbst nationale Regelungen zu erlassen, um den Schutz der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Daten zu gewährleiten.

Consent as a legal basis

Als Einwilligung versteht die DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personal data.  einverstanden ist.“ (Article 4 (11) DSGVO ). Auch Bedingungen für die Einwilligung werden in der Datenschutzgrundverordnung festgehalten und sind in Article 7 and Article 8 nachzulesen. Fällt die Wahl auf die Einwilligung als Rechtsgrundlage ist vor allem zu beachten, dass Betroffene die Möglichkeiten haben müssen eine Einwilligung zu verweigern oder eine bereits erteilte Einwilligung zu widerrufen. Daraus ergibt sich eine erhebliche Unsicherheit in Bezug auf den Fortbestand der Datenverarbeitung.

Folglich ist eine Einwilligung als Rechtsgrundlage nur in wenigen Konstellationen die richtige Lösung. Verarbeitungen, bei welchen die Einwilligung als Legitimationsbasis angemessen ist, ist die Verarbeitung besonderer Kategorien personenbezogener Daten, von Daten, die einen starken Persönlichkeitseingriff beinhalten oder deren vertragliche Vereinbarungen in ein gesetzliches Verbot umgehen würde.

Contract as legal basis

A contractual agreement is preferable to consent by data subjects. Especially when

  • die Verarbeitungen für den vom Unternehmen angebotenen und vom Betroffenen gewünschten Service erforderlich sind
  • die Verarbeitungen als solche eine Gegenleistung für die Gewährleistung eines Service (z.B. Verarbeitung von Daten zu Marketingzwecken als Gegenleiostung für einen Download)
  • Verarbeitungen zum Kern des Dienstverhältnisses gehören.
  • Arbeitnehmer müssen die Verarbeitung ihrer Daten tolerieren, ohne die eine Abwicklung des Arbeitsverhältnisses nicht möglich wäre. Sollten Mitarbeiter die Datenverarbeitung verweigern, kann dies eine Auflösung des Arbeitsverhältnisses zur Folge haben. Die eigentliche Rechtfertigung erfolgt mittels des Arbeitsverhältnisses des Mitarbeiters.

Interessenabwägung als Rechtsgrundlage

Kann ein Vertrag mit den Betroffenen eine Verarbeitung nicht ausreichend legitimieren, ist es möglich diese auf ein berechtigtes Interesse des Unternehmens zu stützen. In Abwägung mit dem schutzwürdigen Interesse des Betroffenen bildet sich daraus die Rechtsgrundlage. Diese Form der Rechtsgrundlage, sollte vor allem dann ergriffen werden, bei

  • Verarbeitungen, die aus einer wirtschaftlichen Risikoabwägung heraus geboten sind
  • Verarbeitungen, die aufgrund des spezifischen Dienstverhältnisses wirtschaftlich geboten sind
  • Verarbeitungen, die maßgeblich für den wirtschaftlichen Erfolg des Unternehmens sind

Gern können Sie uns als external data protection officer order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Learn more

Forms of data processing

Electronic data processing

Als Elektronische Datenverarbeitung wird die EDV im Unternehmen bezeichnet. Datenschutzrechtlich spielt die elektronische Datenverarbeitung eine entscheidende Rolle, da diese einen sachlichen Anwendungsbereich gemäß der DSGVO eröffnet. Aus Article 2 (1) DSGVO ergibt sich eine Definition als ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Demzufolge können Daten in analoger Form wie Akten, sowie in digitalisierter (automatisierter) Form erhoben werden.

Order processing as a special form

Werden Daten im Auftrag eines anderen Unternehmens verarbeitet, ist es nötig einen gesonderten Vertrag zwischen Verantwortlichen und Auftragsverarbeiter zu schleißen. Dieser wird als Auftragsverarbeitungsvertrag (kurz AV-Vertrag) bezeichnet und wird z.B. dann nötig, wenn die Lohnabrechnung extern erfolgt, oder ein Callcenter genutzt wird.

You can find more information on this in the article GDPR compliant data processing agreement.

Data processing in corporate groups

Concerns regarding the exchange within the group are personal data nicht privilegiert. Das meint, dass ein Datenaustausch zwischen konzernangehörigen Gesellschaften ebenso eine Rechtsgrundlage benötigt, wie der Austausch mit einer fremden Gesellschaft. Helfen kann in diesem Fall Erwägungsgrund 48 mittels welchem ein berechtigtes Interesse gegeben werden kann, innerhalb einer Unternehmensgruppe Kunden- und Beschäftigtendaten für interne Verwaltungszwecke zu übermitteln.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

All information on quality management

Das wichtigste zum Qualitätsmanagement: Aufgaben, Normen und Standards, und Aufbau eines Qualitätsmanagement-Systems.
Read more

Risk management in the company

The most important facts about risk management: definitions, instruments, norms and standards and the structure of a risk management system.
Read more

Compliance management in the company

The most important information on compliance management: corporate obligations, norms and standards, and setting up a compliance management system.
Read more

Klicke hier, um Ihren eigenen Text einzufügen